設定識別資訊提供者

如要強制執行資料來源存取控管，並保護 Gemini Enterprise 中的資料，必須設定識別資訊提供者。這包括設定識別資訊提供者，以及管理資料來源的權限。Google 會使用您的識別資訊提供者，識別執行搜尋的使用者，並判斷他們是否有權存取搜尋結果中傳回的文件。

選擇識別資訊提供者類型

您選擇的識別資訊提供者類型，取決於連結至您 Gemini Enterprise 應用程式的資料來源。Gemini Enterprise 支援下列選項：

識別資訊提供者類型	使用時機
Google Identity	將 Gemini Enterprise 連結至 Google Workspace 資料來源時，必須使用 Google Identity。 設定 Google Identity 前，請先決定貴組織使用的不重複使用者屬性，通常是使用者的電子郵件地址。如果使用者有多個電子郵件地址，請務必新增電子郵件別名。
第三方識別資訊提供者	如果只將 Gemini Enterprise 連結至第三方資料來源，且您已使用支援 OIDC 或 SAML 2.0 的第三方識別資訊提供者 (例如 Microsoft Entra ID、Active Directory 同盟服務 (AD FS) 和 Okta 等)，則必須使用員工身分聯盟。詳情請參閱「員工身分聯盟」。 設定員工身分聯盟前，請先判斷貴組織使用的不重複使用者屬性，並將這些屬性對應至員工身分聯盟。

第三方識別資訊提供者的員工身分聯盟

本節說明如何為第三方識別資訊提供者設定員工身分聯盟。您可以選擇驗證員工身分聯盟設定是否正常運作。

設定員工身分聯盟

如要瞭解如何透過第三方識別資訊連接器，來設定員工身分聯盟，請參閱下列資源：

識別資訊提供者	資源
Entra ID	使用 Microsoft Entra ID 設定員工身分聯盟，並讓使用者登入 使用 Microsoft Entra ID 和大量群組，設定員工身分聯盟
Okta	使用 Okta 設定員工身分聯盟，並讓使用者登入
OIDC 或 SAML 2.0	使用支援 OIDC 或 SAML 2.0 的識別資訊提供者 (IdP)，設定員工身分聯盟

設定屬性對應

屬性對應功能可協助您運用員工身分聯盟，將第三方身分資訊連結至 Google。

在員工身分聯盟設定屬性對應時，請注意下列事項：

• google.subject 屬性必須在第三方資料來源中，對應至可識別不重複使用者的欄位。例如電子郵件、主體名稱、使用者 ID 或員工 ID。

• 如果貴組織有多個專屬 ID，請使用 attribute.as_user_identifier_number between 1 and 50 屬性來對應這些專屬組織屬性。

  舉例來說，如果貴組織在不同應用程式中，同時使用電子郵件和主體名稱做為使用者 ID，且主體名稱在第三方識別資訊提供者中設為 preferred_username，您可以使用員工身分聯盟屬性對應 (例如 attribute.as_user_identifier_1=assertion.preferred_username)，將主體名稱對應至 Gemini Enterprise。

• 在屬性對應設定中附加 lowerAscii()，即可使用小寫屬性值。搭配員工身分聯盟使用時，Gemini Enterprise 搜尋不區分大小寫。也就是說，系統會將擷取的資料和搜尋查詢都正規化為小寫。舉例來說，如果使用者的屬性對應電子郵件地址是 CloudySanFrancisco@gmail.com，而系統是根據電子郵件地址 cloudysanfrancisco@gmail.com 決定能否存取文件，Gemini Enterprise 便會將 CloudySanFrancisco@gmail.com 轉換為 cloudysanfrancisco@gmail.com。

以下是常用識別資訊提供者的 google.subject 和 google.groups 屬性對應範例。

• 使用 OIDC 通訊協定的 Entra ID
  這個範例使用電子郵件地址來識別不重複使用者。

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  google.display_name=assertion.given_name
  

• 使用 SAML 通訊協定的 Entra ID
  這個範例使用 SAML 名稱 ID 來識別不重複使用者。

  google.subject=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress'][0].lowerAscii()
  google.groups=assertion.attributes['http://schemas.microsoft.com/ws/2008/06/identity/claims/groups']
  google.display_name=assertion.attributes['http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname'][0]
  

• 使用 OIDC 通訊協定的 Okta
  這個範例使用電子郵件地址來識別不重複使用者。

  google.subject=assertion.email.lowerAscii()
  google.groups=assertion.groups
  

• 使用 SAML 通訊協定的 Okta
  這個範例使用 JWT 的主體宣告，來識別不重複使用者。

  google.subject=assertion.subject.lowerAscii()
  google.groups=assertion.attributes['groups']
  

選用：驗證員工身分聯盟設定

如要使用員工身分聯盟稽核記錄功能，驗證登入是否成功，以及屬性對應是否正確，請按照下列步驟操作：

1. 啟用資料存取活動的 Security Token Service API 稽核記錄。

   1. 前往 Google Cloud 控制台的「Audit Logs」(稽核記錄) 頁面：

      前往「Audit Logs」(稽核記錄) 頁面

      如果您是使用搜尋列尋找這個頁面，請選取子標題為「IAM & Admin」(IAM 與管理) 的結果。

   2. 選取現有的 Google Cloud 專案、資料夾或組織。
   3. 啟用資料存取稽核記錄。
      1. 如需啟用稽核記錄的詳細步驟，請參閱 Logging 說明文件。
      2. 如果是 Security Token Service API，請選取「Admin Read」(管理員讀取) 稽核記錄類型。詳情請參閱員工身分聯盟的記錄範例。

2. 在工作團隊集區啟用詳細記錄功能。Microsoft Entra ID 的員工身分聯盟擴充群組功能不會產生詳細的稽核記錄資訊。

   1. 前往「Workforce Identity Pools」(員工身分集區) 頁面：

      前往「Workforce Identity Pools」(員工身分集區) 頁面

   2. 在表格中選取集區。

   3. 將「Enable detailed audit logging」(啟用詳細稽核記錄) 切換鈕設為開啟。

   4. 按一下「Save Pool」(儲存集區)。

3. 在「Providers」(提供者) 專區，按一下提供者的「Sign in URL」(登入網址)，然後以工作團隊集區使用者身分登入 Google Cloud 控制台。

4. 查看登入時產生的稽核記錄。

   1. 前往「Workforce Identity Pools」(員工身分集區) 頁面：

      前往「Workforce Identity Pools」(員工身分集區) 頁面

   2. 在表格中，選取您登入的集區。

   3. 按一下「Logs」(記錄) 旁的「View」(查看)。

   4. 在「audit log」(稽核記錄) 頁面中，從查詢中清除 protoPayload.resourceName 篩選條件。

   5. 按一下 [Run query] (執行查詢)。

5. 檢查稽核記錄，找出與登入時間戳記相符的 google.identity.sts.SecurityTokenService.WebSignIn 方法項目。

6. 查看記錄中的 metadata.mapped_attributes 欄位，確認符合您為第三方識別資訊提供者設定員工身分聯盟時使用的屬性。

   例如：

   "metadata": {
     "mapped_attributes": {
       "attributes.as_user_identifier_1": "alex@admin.altostrat.com"
       "google.subject": "alex@altostrat.com"
       "google.groups": "[123abc-456d, efg-h789-ijk]"
     }
   },
   

限制

使用連接器連結資料來源，來建立資料儲存庫時，須遵守下列限制：

• 每份文件最多可設定 3,000 名讀取者。每個主體都計為一名讀取者，主體可以是群組或個別使用者。

• 在 Gemini Enterprise 支援的位置中，每個位置只能選取一種識別資訊提供者類型。

• 如果變更識別資訊提供者類型或工作團隊集區，導致識別資訊提供者設定更新，現有資料儲存庫不會自動更新為新設定。您必須刪除並重新建立這些資料儲存庫，才能套用新的識別資訊設定。

• 如要將資料來源設為存取權受控管，請在建立資料儲存庫時選取這項設定。您無法為現有資料儲存庫開啟或關閉這項設定。

• 如要預覽使用第三方存取權控管的搜尋應用程式 UI 結果，您必須登入聯合控制台或使用網頁應用程式。詳情請參閱「預覽應用程式」。

連線至識別資訊提供者

下一節將說明如何使用Google Cloud 控制台，連線至識別資訊提供者。

事前準備

連結識別資訊提供者之前，請先完成下列步驟：

• 授予管理員權限。

• 如果您要連結第三方識別資訊提供者，請設定員工身分聯盟。

連結識別資訊提供者

如要為 Gemini Enterprise 指定識別資訊提供者，並開啟資料來源存取控管功能，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Gemini Enterprise」頁面。

   Gemini Enterprise

2. 依序點選「Settings」(設定) >「Authentication」(驗證)。

3. 在您要更新的位置，按一下「Add identity provider」(新增識別資訊提供者)。

4. 按一下「Add identity provider」(新增識別資訊提供者)，然後選取識別資訊提供者類型。
   如果選取「3rd party identity」(第三方身分)，您也需要選取適用於資料來源的工作團隊集區。

5. 按一下 [儲存變更]。

授予使用者權限

使用者必須具備 Discovery Engine 使用者 (roles/discoveryengine.user) 角色，才能存取、管理及共用應用程式。

識別資訊提供者類型	說明
Google Identity	如果您使用 Google Identity，Google 建議建立 Google 群組，納入所有使用該應用程式的員工。 如果您是 Google Workspace 管理員，可以按照「將貴組織的所有使用者加入群組」中的步驟，將組織中的所有使用者加入 Google 群組。 將 Discovery Engine 使用者 (roles/discoveryengine.user) 角色授予使用者。請參閱「授予使用者權限」，進一步瞭解如何新增角色。
第三方識別資訊提供者	將 Discovery Engine 使用者 (roles/discoveryengine.user) 角色，授予您的使用者和 IAM 政策中工作團隊集區的使用者。請參閱授予使用者權限的相關說明，進一步瞭解如何新增角色。 Google 建議您為第三方身分設定群組權杖附加資訊。

後續行動

• 如果您有 Cloud Storage 或 BigQuery 資料儲存庫，且想對資料強制執行存取控管，則必須為自訂資料來源設定存取控管。

• 如果連結至自訂資料來源，請參閱這篇文章，瞭解如何設定外部識別資訊。

• 預覽應用程式

• 準備好與使用者共用應用程式後，您可以開啟應用程式並與使用者分享網址。使用者必須先登入才能存取應用程式。詳情請參閱「查看搜尋網頁應用程式」。